iPhone rubato: come i criminali possono separarlo dall'account iCloud del proprietario

I tecnici di Kaspersky raccontano una vicenda realmente accaduta che a una prima lettura può sembrare fantascienza. In realtà sono le nuove tattiche che i criminali informatici stanno fattivamente utilizzando per assumere pieno controllo dei dispositivi iPhone rubati e spezzare il legame con gli account iCloud impostati dai legittimi proprietari.

Tutto è cominciato con una dimenticanza: l’abbandono di un iPhone su una panchina del parco da parte di Anna, una delle dipendenti di Kaspersky.
Quando Anna si è accorta di aver smarrito il suo smartphone, tornata sul luogo in cui aveva lasciato il suo iPhone, lo smartphone non c’era più.

Senza esitare, Anna ha attivato la funzionalità Trova il mio iPhone offerta da Apple e abilitata sul suo telefono. La collaboratrice di Kaspersky, proprio usando Trova il mio iPhone, ha anche impostato un messaggio destinato a colui che aveva rinvenuto il suo telefono fornendo istruzioni per la restituzione e promettendo un premio in denaro.
Eppure Anna non ha ricevuto notizie del suo iPhone che, stando alle informazioni rese da Trova il mio iPhone, è rimasto sempre offline, disconnesso dalla rete Internet.
Per preservare la riservatezza dei suoi dati, Anna ha quindi deciso di disporre la cancellazione a distanza dell’intero contenuto dell’iPhone perduto.

Dal momento in cui l’iPhone è andato perso, però, chi l’ha trovato ha provveduto a spegnerlo e non lo ha più riacceso rendendo vano anche il tentativo di wiping da remoto.

Durante i due giorni successivi la SIM inserita nel telefono è rimasta sbloccata e i malintenzionati venuti in possesso dell’iPhone di Anna hanno avuto il tempo esaminarla per scoprire il numero di telefono della malcapitata. Il terzo giorno la SIM è stata bloccata dall’operatore mobile, su richiesta di Anna, e una nuova SIM, con lo stesso numero, è stata inserita nel nuovo telefono della “sfortunata smemorata”.

Quarto giorno. Quelli che adesso Kaspersky chiama veri e propri truffatori si sono messi all’opera per rendere vendibile l’iPhone rubato cercando di scollegarlo dall’Apple ID di Anna. Per cominciare hanno fatto alcune chiamate da un numero di telefono che sembrava provenire dalla rete statunitense (qualsiasi tentativo di risposta è stato accolto, dall’altro capo, con il silenzio).

Lo scopo delle chiamate era quello di assicurarsi che la SIM fosse stata reinserita in un nuovo telefono e che il numero fosse di attivo. Subito dopo l’ultima chiamata, Anna ha ricevuto un SMS che il suo telefono rubato era andato online ed era stato localizzato.

Guardate però il testo dell’SMS ricevuto: un attacco phishing in piena regola. Per non fare sentire odore di bruciato, il messaggio è stato innanzi tutto inviato da un servizio in grado di sostituire “Apple” come mittente.
Il link stesso sembrava plausibile: inserito manualmente, l’URL conduce a una pagina inesistente ma facendo clic sul link si ottiene il reindirizzamento verso un sito di phishing.

Qual è il segreto? Il dominio icloud.co.com esiste e appartiene ad Apple (provate a digitarlo nella barra degli indirizzi del browser: verrà effettuato un reindirizzamento verso apple.com) ma il link nel testo usava lo stesso nome a dominio con una “I” maiuscola come secondo carattere invece di una “l” (“elle”) minuscola.
Facendo clic sul link, Anna è stata reindirizzata a una pagina phishing convincente, dove le è stato chiesto di inserire il suo Apple ID e la sua password per ottenere la posizione esatta dell’iPhone perso. Si noti però, a questo punto, la presenza di un URL non ufficiale nella barra degli indirizzi verso il quale è stato automaticamente effettuato un redirect.

Kaspersky fa notare che la stessa pagina ha un aspetto diverso a seconda del dispositivo e del browser utilizzati. Molto probabilmente, quindi, gli aggressori stanno utilizzando lo stesso schema per aggredire gli utenti di diverse piattaforme.

Dal momento che Anna si è accorta della trappola, i criminali hanno provato a mettere in campo il loro “piano B“: tre ore dopo l’invio del messaggio di phishing, quando era chiaro che Anna non avrebbe inserito i dettagli del suo account, i truffatori l’hanno chiamata per telefono.
Una voce femminile si è presentata come dipendente di un centro servizi Apple fornendo dati precisi sul modello di smartphone perso invitando Anna di presentarsi di persona a ritirare il suo terminale presso un centro commerciale dall’altra parte della città.

Anna ha quindi chiesto come l’interlocutrice fosse venuta in possesso del suo numero di telefono e dei dati relativi al suo smartphone. Dopo alcuni minuti di quesiti pressanti la truffatrice ha risposto seccata con un “se non hai più bisogno del tuo telefono, non venire“.

Anna ha comunque provato ad andare avanti per verificare fin dove si sarebbero spinti i truffatori. Telefonicamente i criminali informatici hanno chiesto alla donna di scollegare l’iPhone perduto dal suo account Apple cosa che ovviamente Anna non ha fatto (ed è la prima regola da tenere sempre a mente).
Anna non ha ovviamente più potuto rimettere le mani sul suo iPhone ma anche i truffatori si sono ritrovati con un oggetto del tutto inutilizzabile.